Linux桌面環境GNOME開發團隊去年7月修補解析XML檔案的程式庫libxml2漏洞CVE-2024-40896,這項漏洞影響2.11、2.12、2.13版,出現在該程式庫的SAX處理器,有可能會意外曝露外部實體,而能讓攻擊者用於發動XML外部實體(XXE)攻擊,CVSS風險達到9.1分(滿分10分),GNOME當時發布2.11.9、2.12.9、2.13.3版予以修補,美國國家漏洞資料庫(NVD)於12月23日將其列入。
以C語言打造而成的程式庫libxml2,主要功能是解析XML檔案,該程式庫能以多種語言呼叫,例如:C++、Python、Ruby,使得這項程式庫能運用在多種開發環境。libxml2最初是由GNOME開發的專案,並用於各種作業系統,一旦出現嚴重漏洞、又未及早修補,影響將可能相當廣泛。
這項漏洞最初是由一名從事辦公室軟體LibreOffice專案的開發人員通報,他表示在導入2.13版libxml2的時候,意外發現當中有部分已知漏洞再度出現,其中一個是CVE-2012-0037(CVSS風險為6.5分)。
LibreOffice團隊原本已對CVE-2012-0037作出處理,但在升級新版libxml2之後,相關程式碼的作用隨之失效,而且會顯現/etc/passwd的內容,因而發現新漏洞。
這位發現上述問題的開發者將情況通報GNOME,並製作概念性驗證文件進一步說明細節,GNOME後續也確認這項漏洞存在,並將其登記為CVE-2024-40896。
熱門新聞
2025-01-02
2025-01-02
2024-12-31
2024-12-31
2025-01-02
2025-01-02
2024-12-31
2024-12-31
Advertisement